У меня есть веб-сервер Apache 2.4.7, работающий с несколькими доменными именами с использованием одного IP-адреса. В результате уязвимости Poodle я добавил следующую SSLCipherSuite
строку. Некоторое время он работал нормально, но пользователи сообщают о проблемах с доступом к странице в Firefox. Просить пользователей о переключении браузеров, к сожалению, не вариант, поэтому мне нужно изменить настройки для поддержки TLS 1.0, 1.1 и 1.2.
Текущие настройки:
<VirtualHost ZYX.XYZ.org:443>
DocumentRoot /var/www/ZYX.XYZ/www
ServerName ZYX.XYZ.org
<Directory "/var/www/ZYX.XYZ/">
allow from all
Options -Indexes
</Directory>
SSLEngine on
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-SSLv3:-EXP:!kEDH
SSLCertificateFile /etc/apache2/ssl/XYZ.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/XYZ.org.key
SSLCACertificateFile /etc/apache2/ssl/gd_bundle-g2-g1.crt
</VirtualHost>
Если мы посмотрим на тест Qualys , то увидим, что сервер поддерживает только TLS 1.2.
Какими будут соответствующие настройки для включения TLS 1.0, TLS 1.1 и TLS 1.2, чтобы сайт мог поддерживать старые браузеры, а также поддерживать достойный уровень безопасности?
источник